Menyatukan Teka-teki: Investigasi Ransomware Qilin

Ditulis oleh Lindsey O’Donnell-Welch, Ben Folland, Harlan Carvey dari Huntress Labs.

Sebagian besar peran analis keamanan sehari-hari adalah mencari tahu apa yang sebenarnya terjadi selama suatu insiden. Kita dapat melakukannya dengan menyatukan remah roti – baik melalui log, deteksi antivirus, dan petunjuk lainnya – yang membantu kita memahami bagaimana penyerang mendapatkan akses awal dan apa yang mereka lakukan setelahnya.

Namun, hal ini tidak selalu kering dan terpotong-potong: terkadang ada faktor eksternal yang membatasi jarak pandang kita. Misalnya, agen Huntress mungkin tidak diterapkan di semua titik akhir, atau organisasi yang ditargetkan mungkin menginstal agen Huntress setelah kompromi terjadi.

Dalam kasus ini, kita perlu kreatif dan melihat berbagai sumber data untuk menentukan apa yang sebenarnya terjadi.

Baru-baru ini, kami menganalisis sebuah insiden yang kedua faktor di atas benar: pada tanggal 11 Oktober, sebuah organisasi memasang agen Huntress pasca-insiden, dan awalnya di satu titik akhir.

Dalam hal jarak pandang, kejadian ini bukan tentang melihat melalui lubang kunci, melainkan lebih mirip melihat melalui lubang jarum. Meski begitu, analis Huntress berhasil memperoleh banyak informasi terkait insiden tersebut.

Insiden Qilin: Apa yang kami mulai

Agen Huntress diinstal pada satu titik akhir setelah a Bunuh ransomware infeksi. Apa maksudnya dari sudut pandang seorang analis yang mencoba mencari tahu apa yang terjadi?

Kami memiliki petunjuk yang terbatas untuk memulai: tidak ada deteksi dan respons titik akhir (EDR) atau telemetri SIEM yang tersedia, dan canary ransomware khusus Huntress tidak tersandung. Karena kami juga berada di satu titik akhir, visibilitas kami terbatas pada aktivitas yang terjadi pada titik akhir tertentu dalam infrastruktur lingkungan yang lebih luas.

Akibatnya, semua analis Huntress harus memulai dengan mengungkap insiden ini adalah peringatan antivirus terkelola (MAV). Setelah agen Huntress ditambahkan ke titik akhir, SOC diperingatkan akan deteksi MAV yang ada, beberapa di antaranya diilustrasikan pada Gambar 1.

Analis mulai menugaskan file dari titik akhir, dimulai dengan subset tertentu dari Windows Event Logs (WEL).

Dari log tersebut, analis dapat melihat bahwa pada tanggal 8 Oktober 2025, pelaku ancaman mengakses titik akhir dan menginstal Layanan Penerapan Perangkat Lunak Totalserta contoh nakal dari Sambungan Layar RMMyang menunjuk ke alamat IP 94.156.232[.]40.

Pencarian VirusTotal untuk alamat IP memberikan wawasan yang diilustrasikan pada Gambar 2.

Aspek yang menarik dari instalasi ini adalah itu Masuk Saya tampaknya diinstal secara sah di titik akhir pada 20 Agustus 2025 dari file tersebut %pengguna%UnduhanLogMeIn.msi.

Kemudian, pada tanggal 8 Oktober, instance ScreenConnect jahat diinstal dari file tersebut C:UsersadministratorAppDataRoamingInstallerLogmeinClient.msi.

Selanjutnya, timeline menunjukkan bahwa pada 2 Oktober, file tersebut %pengguna%UnduhanLogMeIn Client.exe telah diserahkan oleh Windows Defender untuk ditinjau, dan tidak ada tindakan lain yang diambil setelah kejadian tersebut.

Beralih dari instalasi ScreenConnect ke peristiwa aktivitas ScreenConnect dalam timeline aktivitas, analis melihat bahwa pada 11 Oktober, tiga file ditransfer ke titik akhir melalui Sambungan Layar contoh; r.ps1, seksDan ss.exe.

Menggali lebih dalam saja r.ps1 masih ditemukan di titik akhir (ditunjukkan di bawah).

  $RDPAuths = Get-WinEvent -LogName  'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational'  -FilterXPath @'      *[System[EventID=1149]]    '@  # Get specific properties from the event XML  [xml[]]$xml=$RDPAuths|Foreach{$_.ToXml()}  $EventData = Foreach ($event in $xml.Event) {    # Create custom object for event data    New-Object PSObject -Property @{     TimeCreated = (Get-Date ($event.System.TimeCreated.SystemTime) -Format 'yyyy-MM-dd hh:mm:ss K')     User = $event.UserData.EventXML.Param1     Domain = $event.UserData.EventXML.Param2     Client = $event.UserData.EventXML.Param3    }  }  $EventData | FT

Berdasarkan isi skrip, tampaknya pelaku ancaman tertarik untuk menentukan alamat IP, domain, dan nama pengguna yang terkait dengan akses RDP ke titik akhir.

Namun, Log Peristiwa Windows berisi a Microsoft-Windows-PowerShell/4100 pesan yang menyatakan:

Pesan Kesalahan = File C:WINDOWSsystemtempScreenConnect22.10.10924.8404Filesr.ps1 tidak dapat dimuat karena skrip yang berjalan dinonaktifkan pada sistem ini.

Pesan ini dicatat dalam waktu 20 detik setelah skrip ditransfer ke titik akhir, dan pelaku ancaman mencoba menjalankannya.

Mengurai melalui log PCA

Dua file lainnya, seks Dan ss.exememerlukan lebih banyak usaha untuk mengungkapnya, karena tidak lagi ditemukan di titik akhir.

Namun, analis Huntress dapat memanfaatkan sumber data di titik akhir Windows 11, khususnya file AmCache.hve dan Asisten Kompatibilitas Program (PCA) mencatat file untuk mendapatkan hash untuk file tersebut, dan untuk melihat bahwa ketika pelaku ancaman mencoba mengeksekusi file tersebut, keduanya tampaknya gagal.

Aktor ancaman menonaktifkan Windows Defender, yang terlihat di Catatan peristiwa Windows Defenderdimulai dengan ID peristiwa 5001, yang menunjukkan bahwa fitur Perlindungan Real-Time dinonaktifkan. Ini diikuti oleh beberapa catatan peristiwa ID 5007, yang menunjukkan bahwa fitur-fitur seperti Pelaporan SpyNet Dan Kirimkan SamplesConsent telah dimodifikasi (dalam hal ini, dinonaktifkan), serta pesan Pusat Keamanan yang menunjukkan bahwa Windows Defender telah memasukkan a SECURITY_PRODUK_STATE_SNOOZED negara.

Aktor ancaman kemudian mencoba meluncurkannya seksyang segera diikuti dengan pesan “Installer failed” di log PCA. Berdasarkan deteksi VirusTotal yang diidentifikasi ditunjukkan pada Gambar 3, dan perilaku yang diidentifikasi oleh VirusTotalfile ini tampaknya adalah sebuah pencuri informasi.

Pesan dalam log PCA memberikan indikasi bahwa file, yang diidentifikasi sebagai penginstal, gagal dijalankan.

Tujuh detik kemudian, pelaku ancaman berusaha lari ss.exeyang segera diikuti oleh aplikasi Windows yang sah, c:windowssyswow64werfault.exediluncurkan. Log PCA kemudian berisi tiga pesan berturut-turut yang menyatakan, “Resolusi PCA dipanggil, nama penyelesai: CrashOnLaunch, hasil: 0” sehubungan dengan ss.exesemuanya menunjukkan bahwa aplikasi tidak berjalan.

Sekali lagi, sebelum mencoba menjalankan dua file di atas, pelaku ancaman menonaktifkan Windows Defender di 11-10-2025 01:34:21 UTCsehingga status Windows Defender dilaporkan sebagai SECURITY_PRODUK_STATE_SNOOZED. Pada 11-10-2025 03:34:56 UTCpelaku ancaman mengakses titik akhir dari jarak jauh, lalu di 11-10-2025 03:35:13 UTCada beberapa deteksi Windows Defender untuk upaya membuat catatan tebusan (yaitu, Perilaku: Win32/GenRansomNote), serta pesan Windows Defender yang menunjukkan bahwa upaya remediasi gagal.

Pada titik ini, status Windows Defender dilaporkan sebagai SECURITY_PRODUK_STATE_ON. Deteksi Windows Defender, ditambah dengan login jarak jauh sebelumnya, tampaknya menunjukkan bahwa ransomware yang dapat dieksekusi diluncurkan dari titik akhir lain, terhadap berbagi jaringan.

Gambar 4 mengilustrasikan kutipan catatan tebusan Qilin yang ditemukan di titik akhir.

Ransomware Qilin adalah varian “ransomware-as-a-service” (RaaS), yang berarti bahwa meskipun logistik ransomware dikelola dari lokasi pusat, setiap afiliasi kemungkinan besar mengikuti pola serangan yang berbeda, meninggalkan jejak dan artefak yang berbeda.

Misalnya, sejumlah insiden Qilin yang diamati oleh analis Huntress dimulai dengan pelaku ancaman masuk melalui Remote Desktop Protocol (RDP), dan semuanya menyertakan catatan tebusan serupa dan ekstensi file terenkripsi.

Namun, hanya dalam satu kejadian analis mengamati penggunaan tersebut s5cmd untuk eksfiltrasi data.

Nilai berbagai sumber data dalam penyelidikan

Sepanjang penyelidikan ini, analis Huntress tidak mencari-cari celah kunci. Ingat, agen Huntress dipasang pasca-insiden, jadi tidak ada telemetri EDR, tidak ada data SIEM, dan tidak ada perangkat ransomware yang dapat digunakan untuk membangun pemahaman tentang perkembangan insiden.

Selain itu, pada saat peringatan MAV diterima di portal Huntress, ini adalah satu-satunya titik akhir dalam infrastruktur dengan agen Huntress terpasang.

Daripada melihat melalui lubang kunci, para analis justru melihat melalui lubang jarum. Namun, mengandalkan berbagai sumber data tidak hanya menghasilkan pemahaman yang lebih mendalam tentang upaya pelaku ancaman pada titik akhir, namun juga berfungsi untuk memvalidasi temuan dan memberikan gambaran yang lebih jelas tentang apa yang sebenarnya terjadi.

Misalnya, memahami bahwa pelaku ancaman menggunakan contoh ScreenConnect jahat untuk mencoba menyebarkan beberapa file berbahaya – termasuk file yang tampak seperti pencuri informasi – dapat membantu memberi tahu perusahaan korban ketika mereka mencoba menentukan cakupan insiden dan cara meresponsnya.

Selama investigasi, khususnya investigasi yang sensitif terhadap waktu atau bahkan hanya diasumsikan, sangat mudah untuk menjadi korban dalam menemukan artefak dan membangun cerita di sekitarnya tanpa terlebih dahulu memverifikasi atau memvalidasinya. Kita mungkin berpikir, “…ini anomali bagi saya…”, tanpa benar-benar mempertimbangkan apakah hal tersebut merupakan anomali dalam infrastruktur itu sendiri, terutama jika penyelidikan dilakukan dengan melihat melalui lubang jarum.

Memvalidasi aktivitas di berbagai sumber data, dan tidak melompat ke indikator pertama sebagai dasar aktivitas jahat, memberikan gambaran yang jauh lebih akurat tentang aktivitas pelaku ancaman, dan memberikan landasan untuk pengambilan keputusan dan remediasi yang lebih akurat.

Temui Pemburu: Demo & Ama

Ancaman dunia maya tidak berhenti begitu saja, begitu pula kita. Di Huntress, kami selalu berinovasi karena pekerjaan tidak pernah berhenti dalam meningkatkan keamanan dan melindungi bisnis seperti milik Anda.

Ajukan pertanyaan tersulit, skenario dunia nyata, dan masalah keamanan Anda. Mari kita atasi bersama-sama.

Pesan untuk webinar!

IOC

Disponsori dan ditulis oleh Lab Pemburu.